FYTT #CJUE 19 décembre 2024 - C-65/23 │ K GmbH_ RGPD, Conventions collectives & Traitement de données des salariés

Cour de Justice de l'Union Européenne

Arrêt du 19 décembre 2024 | Huitième Chambre | Affaire C-65/23 «K GmbH»

| RGPD, Conventions collectives & Traitement de données des salariés |

Les règles nationales ou conventions collectives adoptées en vertu de l’article 88 doivent respecter toutes les dispositions fondamentales du RGPD, y compris les principes généraux (article 5), les bases légales du traitement (article 6) et les restrictions spécifiques pour les catégories particulières de données sensibles (article 9).

Les juges nationaux ont le pouvoir et le devoir d’exercer un contrôle complet sur la conformité des conventions collectives au RGPD, et ainsi vérifier si le traitement respecte rigoureusement les conditions prévues par les articles 5, 6 et 9 du RGPD, notamment en ce qui concerne le critère de nécessité

Les dispositions légales nationales, ou résultant d’accords d’entreprises/conventions collectives, qui seraient jugées non conformes au RGPD doivent être par suite privées d’effet et d’application à la cause soumise à la juridiction.


CJUE 19 décembre 2024 | K GmbH | C-65/23

| RGPD Art. 88 | Conventions collectives & Marge d’appréciation des partenaires sociaux | Traitement de données des salariés | Contrôle juridictionnel de la condition de “nécessité”


Cour de Justice de l’Union Européenne | Arrêt du 19 décembre 2024 | Huitième Chambre | Affaire C-65/23 «K GmbH»


L’affaire C-65/23 concerne un litige portant sur la réparation d’un préjudice moral qu’un salarié MK prétend avoir subi en raison d’un traitement de ses données effectué par son employeur K GmbH sur la base d’un accord d’entreprise.

La CJUE a jugé que l’article 88 du RGPD doit être interprété en ce sens qu’une disposition nationale adoptée en vertu de cet article doit contraindre ses destinataires à respecter, d’une part, les exigences de l’article 88, paragraphe 2 du RGPD, et par ailleurs les exigences des articles 5, 6(1) et 9(1-2) du RGPD.

La marge d’appréciation des parties à une convention collective pour déterminer le caractère “nécessaire” d’un traitement de données n’empêche pas le juge national d’exercer un contrôle juridictionnel complet à cet égard, notamment afin de de garantir le respect des conditions et limites du RGPD et l’objectif de protection des droits fondamentaux des salariés.

Ce contrôle juridictionnel renforcé aura toute matière à particulièrement trouver sa légitimité lorsque les conventions collectives prévoient, dans des cas spécifiques, la collecte de données biométriques, la surveillance des communications électroniques des salariés, la géolocalisation des véhicules de fonction, ou le partage de données RH entre filiales au sein d’un groupe.

Dans tous ces cas, le juge national pourra naturellement exercer un contrôle complet sur la nécessité du traitement, sans être lié par l’appréciation des partenaires sociaux, afin de garantir une protection élevée des droits fondamentaux des salariés.

 


SUR LES FAITS

L’employé, qui présidait le comité d’entreprise, contestait le transfert de ses données personnelles vers un nouveau logiciel de gestion RH appelé “Workday”

En 2017, le groupe D, auquel appartient K GmbH, avait déployé sur le cloud le logiciel Workday comme système unique de gestion RH, impliquant un transfert de données vers des serveurs de la société situés aux États-Unis.

Un accord d’entreprise établissant une tolérance avait été conclu le 3 juillet 2017, mais il limitait strictement les catégories de données transférables

Le salarié requérant allèguait que son employeur avait transféré des données au-delà de celles autorisées par l’accord, en ce, notamment ses coordonnées personnelles, les détails de son contrat de travail et sa rémunération, ses numéros de sécurité sociale et d’identification fiscale, sa nationalité et son état civil.

Il soutenait, en effet, que le traitement de ses données n’était pas nécessaire ni pour la relation de travail, ni pour l’expérimentation du logiciel Workday, car l’utilisation de données fictives aurait amplement suffi, évitant ainsi tout risque de violation de données.

K GmbH, son employeur, objectait que le traitement contesté respectait bien les exigences du RGPD et affirmait qu’il appartenait au salarié de démontrer l’existence d’un préjudice moral, et le lien de causalité entre une éventuelle violation du RGPD et le préjudice allégué.

 


SUR LES QUESTIONS PREJUDICIELLES

L’article 88 du RGPD impose-t-il le respect non seulement de ses propres exigences mais aussi des articles 5, 6(1) et 9(1)(2) du RGPD pour le traitement des données dans le cadre professionnel?

Les partenaires sociaux disposent-ils d’une marge d’appréciation limitant le contrôle juridictionnel sur la nécessité du traitement?

 


SUR LA MOTIVATION DE LA CJUE

Les règles nationales ou conventions collectives adoptées en vertu de l’article 88 doivent respecter toutes les dispositions fondamentales du RGPD, y compris les principes généraux (article 5), les bases légales du traitement (article 6) et les restrictions spécifiques pour les catégories particulières de données sensibles (article 9).

L’article 88 ne permet pas aux États membres ou aux conventions collectives d’éluder ces exigences fondamentales et par suite d’appliquer de manière moins stricte l’exigence de nécessité du traitement.

Les parties à une convention collective doivent respecter les conditions et limites du RGPD.

Les parties à une convention collective peuvent disposer d’une certaine marge d’appréciation pour déterminer la nécessité d’un traitement dans la mesure où elles sont les mieux placées pour évaluer la nécessité d’un traitement dans un cadre professionnel; cette marge, cependant, ne peut pas restreindre le contrôle juridictionnel complet exercé par les tribunaux nationaux.

Les juges nationaux ont le pouvoir et le devoir d’exercer un contrôle complet sur la conformité des conventions collectives au RGPD, et ainsi vérifier si le traitement respecte rigoureusement les conditions prévues par les articles 5, 6 et 9 du RGPD, notamment en ce qui concerne le critère de nécessité

Les dispositions légales nationales, ou résultant d’accords d’entreprises/conventions collectives, qui seraient jugées non conformes au RGPD doivent être par suite privées d’effet et d’application à la cause soumise.

Les parties à une convention collective ne peuvent pas, en effet, se soustraire à leurs obligations sous prétexte qu’elles agissent dans un cadre professionnel spécifique.

Le caractère “nécessaire” d’un traitement doit être rigoureusement justifié.

Les compromis économiques ou pratiques ne peuvent pas justifier un assouplissement des exigences légales.

Les employeurs doivent donc s’assurer que tout traitement de données personnelles dans le cadre des relations de travail respecte non seulement les règles nationales ou conventions collectives applicables, mais aussi toutes les dispositions pertinentes du RGPD; le recours à des solutions technologiques impliquant des transferts internationaux hors UE —- comme ce fût le cas en l’espèce avec la solution digitale Workday —- nécessite une attention particulière pour garantir leur conformité avec le RGPD.